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Erpressungstrojaner sind weiterhin schwer 
in Mode bei Kriminellen, denn mit ihnen lässt 
sich leichtes Geld verdienen, weil Windows 
bei Privatnutzern üblicherweise offen steht 
wie ein Scheunentor. Das liegt auch daran, 
dass Microsoft ihnen Sicherheitsfunktionen 
vorenthält. Ein c't-Tool ändert das. 


Von Axel Vahldiek 


W indows-PCs in Firmen sind oft 
so sehr verrammelt, dass man 
auf ihnen nur jene Anwendun- 
gen starten kann, die zuvor vom Adminis- 
trator ausdrücklich genehmigt wurden. 
Das soll nicht nur verhindern, dass die 
Mitarbeiter spielen statt zu arbeiten, son- 
dern schützt auch zuverlässig vor vielen 
Viren und Trojanern. Zwar gibt es mittler- 
weile jene seltenen Schädlinge, die sich 
dateilos ins System einnisten [1], doch die 
meisten arbeiten anders: Ein Skript auf 
einer befallenen Website oder ein Makro 
in einem infizierten Dokument lädt die 
eigentliche Schädlingsdatei auf die Fest- 
platte herunter und trägt einen passenden 
Autostart ein, der dafür sorgt, dass die 
Programmdatei beim Hochfahren des 
Systems mit gestartet wird. Wenn sie aber 
nicht in der Liste der genehmigten An- 
wendungen steht, scheitert auch ihr Start 
und der Schädling kann nichts anrichten. 
Das Gleiche gilt auch für Malware, die als 
ausführbare Datei etwa per Mail beim 
Nutzer ankommt. Der Mechanismus, der 
dahintersteckt, heißt „Software Restric- 
tion Policies“ (SRP). Dabei handelt es sich 
letztlich um Listen von erlaubten sowie 
verbotenen Anwendungen und Datei- 
typen. Bei neueren Windows-Versionen 
gibt es eine noch etwas mächtige Variante 
davon namens Applocker, für den Schutz 
vor Krypto-Trojanern reichen die bereits 
mit Windows XP eingeführten SRP aber 
völlig aus. 

Privatanwendern half das bislang al- 
lerdings nichts, denn den Home -Editio- 
nen von Windows fehlen die zum Konfi- 
gurieren der SRP nötigen Werkzeuge - 
und das, obwohl SRP an sich auch unter 


Home funktionieren. Wir lösen das Pro- 
blem: Mit unserem Programm „Re- 
stric’tor“ können Sie SRP in allen Win- 
dows-Editionen gleichermaßen konfigu- 
rieren und verwalten. 

Dieser Beitrag erläutert, was SRP ei- 
gentlich sind, welche Auswirkungen sie 
haben und wie Sie auf 
dem eigenen PC auch 
ohne Aktivieren der SRP 
vorab prüfen können, 
was nach dem Aktivieren 
wohl alles blockiert wer- 
den würde. Das erleich- 
tert die Entscheidung, 
auf welchen Rechnern 
Sie SRP wirklich einsetzen wollen, denn 
eines muss deutlich gesagt werden: SRP 
sind zwar für viele, aber nicht für alle PCs 
geeignet. Der nachfolgende Artikel erklärt 
den Einsatz unseres Werkzeugs Restric’tor 
und gibt Handreichungen, wie Sie Win- 
dows dazu bringen, Sie von sich aus über 
Verstöße gegen Ihre selbst erstellten Re- 
geln zu informieren. Es folgen Tipps, wie 
Sie bereits vor dem ersten Start einer An- 
wendung erkennen können, ob Sie wo- 
möglich einen Schädling vor sich haben. 

Falls Sie jetzt ob der Länge der Arti- 
kelstrecke zurückschrecken: In der Tat, 
auch wenn wir mit unserem Restric’tor 
versuchen, Ihnen möglichst viel Aufwand 
abzunehmen, kann das Konfigurieren und 
Pflegen von SRP dennoch mit einem ge- 
wissen Aufwand verbunden sein - je nach 
Einsatzzweck einer Windows-Installation 
reicht die Bandbreite dabei von Einrichten 
und Vergessen bis hin zu ständig nötiger 
Pflege. Sie profitieren aber im Gegenzug 
von einem für Privatanwender bislang 


unter Windows unerreichbaren Schutz- 
Level. Lesen Sie sich also in Ruhe die Ar- 
tikel durch und wägen Sie danach ab, wie 
viel Aufwand der Einsatz von SRP auf 
Ihren Rechnern wohl bedeutet und ob 
Ihnen der Sicherheitsgewinn das wert ist. 
Und denken Sie dabei auch an jene PCs, 
für die Sie im Freundes- und 
Familienkreis den Admin 
spielen: Nach unseren Erfah- 
rungen wird Schwiegermut- 
ter von aktiven SRP üblicher- 
weise gar nichts merken. 
Und wenn Sie künftig nicht 
mehr ständig wegen Viren- 
befall zu Hilfe gerufen wer- 
den, haben Sie selbst dann etwas von SRP, 
wenn Sie sie auf dem eigenen Rechner gar 
nicht nutzen. 

An der UAC vorbei 

Zuerst noch ein paar weitere Worte dazu, 
warum eine Standard-Windows-Installa- 
tion auch heutzutage noch offen wie ein 
Scheunentor ist. Denn immerhin hat 
Microsoft in den letzten Jahren ja einige 
Anstrengungen dagegen unternommen. 
So ist seit dem Service Pack 2 für Windows 
XP eine Firewall an Bord und seit Win- 
dows 8 ein Virenscanner. Seit Vista arbei- 
ten die Nutzer zudem üblicherweise mit 
eingeschränkten Benutzerrechten, und 
zwar selbst dann, wenn sie als Adminis- 
trator angemeldet sind. Um letzteres küm- 
mert sich die Benutzerkontensteuerung, 
englisch „User Account Control“ (UAC). 

Die UAC sorgt dafür, dass jeder Pro- 
zess, den ein als Administrator angemel- 
deter Anwender startet, trotzdem erst mal 
nur mit eingeschränkten Rechten läuft. 


Ein Viren- 
scanner 
reicht längst 
nicht mehr. 
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C:\Users\axv\Downloads\Rechnung.doc.exe 

Dieses Programm wurde vom 
Sie vom Systemadministrator. 


X 


Dieses Programm wurde vom Systemadministrator geblockt. Weitere Informationen erhalten 


OK 


Software Restriction Policies (SRPs) sorgen dafür, dass nur noch zuvor 
genehmigte Anwendungen starten - Schädlinge werden hingegen blockiert. 


Das gilt selbst für den Explorer. Mangels 
Admin-Rechten hat man unter anderem 
nicht mehr überall Schreibrechte: Sie feh- 
len beispielsweise im Windows- und im 
Programme-Ordner. Möchte ein Prozess 
dort etwas hinschreiben oder hinkopieren, 
muss er bereits mit Administratorrechten 
gestartet worden sein oder sie sich nach- 
träglich verschaffen. Beides löst eine der 
bekannten „Sind Sie sicher?“-Nachfragen 
aus. Alle weiteren Prozesse starten trotz- 
dem wieder mit eingeschränkten Rechten. 

Die Nachfragen sind immer dann 
etwas nervig, wenn man gerade selbst ge- 
klickt hat, da man sich ja üblicherweise 
schon beim ersten Klick sicher war. Sollte 
hingegen eine Sind-Sie-sicher-Frage aus 
dem Nichts erscheinen, versucht wohl ir- 
gendein Programm im Hintergrund, sich 
Administratorrechte zu verschaffen - und 
es besteht immer die Gefahr, dass das ein 
Schädling ist. Und wenn man in so einem 
Moment einfach so auf „ja“ klickt, hat 
man verloren, falls es es sich wirklich um 
einen Schädling handelt. Denn ein Pro- 
zess mit Admin-Rechten darf genau alles 
auf dem System. Zwar kann man selbst 
Administratoren Rechte wegnehmen, 
doch wenn ein Prozess erst mal mit vollen 
Rechten läuft, kann er sich fehlende Zu- 
griffsrechte einfach wieder selbst einräu- 
men. Allenfalls der Virenscanner könnte 
in diesem Moment noch einschreiten, 
doch ein mit Admin-Rechten laufender 
Schädling kann sich vor dem problemlos 
verstecken oder ihn einfach abschalten. 

Die Schädlingsprogrammierer gehör- 
ten zu den ersten, die begriffen, dass UAC- 
Nachfragen den Benutzer auf einen Angriff 
hinweisen können. Daher unterlassen ihre 
Machwerke längst alle Aktionen, die so 
eine Nachfrage auslösen könnten. Wozu 
auch? Wenn ein Erpressungstrojaner den 
UAC-geschützten Windows-Ordner ver- 
schlüsseln würde, könnte man Windows 


einfach neu installieren. Die ohne UAC- 
Abfrage verschlüsselbaren Ordner im Be- 
nutzerprofil hingegen enthalten die per- 
sönlichen Bilder, Videos und Dokumente 
des Benutzers, und wer davon kein Backup 
hat, lässt sich viel leichter zur Zahlung von 
Lösegeld erpressen. Weil zudem auch für 
Nutzer mit eingeschränkten Rechten Stel- 
len existieren, an denen sie Autostarts ein- 
tragen können, können sich Schädlinge 
problemlos auch ohne Administratorrechte 
auf Dauer einnisten - ge- 
nau deshalb ist Windows 
in der Standardeinstellung 
wie erwähnt offen wie ein 
Scheunentor. 

Zum Lösen des Pro- 
blems könnte man zwar 
UAC-Abfragen auch für 
die Benutzer-Ordner ein- 
bauen, doch dann wäre 
an sinnvolles Arbeiten kaum noch zu den- 
ken: Bei jedem Speichern und Zwischen- 
speichern von Dokumenten würde es 
Nachfragen hageln, ebenso bei jedem Ko- 
piervorgang und bei jedem Löschen einer 
Datei und so weiter. Das würde also mehr 
Probleme verursachen als lösen. 

Abhilfe SRP 

Software Restriction Policies schützen an- 
ders: Sie sorgen dafür, dass Windows nur 
noch den Start zuvor festgelegter Anwen- 
dungen erlaubt. Als Folge kann sich ein 
Schädling zwar noch im Nutzerprofil ein- 
nisten, von dort aus aber nicht starten und 
somit keinen Schaden anrichten. Die Be- 
schränkungen gelten dabei ausschließlich 
für ausführbare Dateien, also Dateitypen 
wie exe, bat, vbs und so weiter; die Liste 
ist anpassbar. Dokumente hingegen wer- 
den von SRP nicht überwacht: Das Öffnen 
von Texten, Tabellen, Videos et cetera ist 
also auch bei aktiven SRP problemlos 
möglich. Wichtig ist nur, dass die jeweils 


mit dem Dokumenten-Dateityp verknüpf- 
te Anwendung erlaubt ist, beispielsweise 
das Office-Paket. 

Es gibt verschiedene Arten von Re- 
geln, die den Start von Programmen er- 
lauben. Für einzelne ausführbare Dateien 
empfiehlt sich eine „Hash-Regel“. Beim 
Erstellen einer solchen Regel erzeugt 
Windows selbst einen Hash - eine Art ein- 
zigartiger Fingerabdruck - der Datei und 
gleicht künftig bei jedem Aufruf einer aus- 
führbaren Datei ab, ob sie einen der er- 
laubten Hashes besitzt - nur dann wird sie 
ausgeführt. Dank des Hashes ist egal, an 
welchem Ort die Datei liegt und wie sie 
heißt, wichtig ist nur, dass sie unverändert 
ist. Ein Schädlingsbefall hingegen würde 
die Datei ändern, was zu einem nicht 
mehr passenden Hash führt. 

Nun wäre es recht umständlich, für 
alle Programme, die man braucht, jeweils 
eine Hash-Regel zu erstellen. Deshalb gibt 
es einen weiteren Regeltyp: die Pfad-Regel. 

Damit ist gemeint, dass 
man per Regel den kom- 
pletten Inhalt eines Ord- 
ners mitsamt seiner Un- 
terordner erlaubt. Sinn- 
voll ist das unter anderem 
bei den Ordnern „Win- 
dows“ und „Program- 
me“ - ohne Ausnahmen 
für sie würde nicht nur 
keine der installierten Anwendungen mehr 
starten, sondern auch nicht mehr Windows 
selbst. Man würde stattdessen vor einem 
schwarzen Bildschirm sitzen. Daher er- 
zeugt Windows Pfad-Regeln für diese bei- 
den Ordner grundsätzlich von selbst beim 
Aktivieren des SRP-Mechanismus. 

Beim Erstellen von Pfad-Regeln muss 
man aufpassen, dass man nur Pfade er- 
laubt, in denen Benutzer mit einge- 
schränkten Rechten keine Schreibrechte 
besitzen. Es gilt also, die Rechtekombina- 
tion „Schreiben“ und „Ausführen“ zu ver- 
hindern. Denn in einem Ordner, in dem 
beides gleichzeitig erlaubt ist, kann sich 
ein Schädling wieder unbemerkt einnis- 
ten. Beim Programme-Ordner besitzt ein 
Nutzer mit eingeschränkten Rechten kei- 
nen Schreibzugriff, daher kann er pro- 
blemlos einfach so als Pfad-Regel einge- 
richtet werden. Beim Windows-Ordner 
sieht es leider anders aus: In seinen Tiefen 
gibt es einzelne Unterordner, in denen 
Nutzer und Prozesse auch ohne Admin- 


SRP können 
Viren stoppen, 
aber nicht den 
Nutzer. 
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Rechte schreiben dürfen. Restric’tor bietet 
daher eine Option, solche Unterordner zu 
suchen und mit zusätzlichen Pfad-Regeln 
zu blockieren. Denn SRP können nicht nur 
erlauben, sondern auch verbieten. In ver- 
botenen Ordnern können Sie einzelne Da- 
teien trotzdem per Hash-Regel erlauben. 

Bequem machen 

SRP können nicht nur für Nutzer mit ein- 
geschränkten Rechten gelten, sondern 
auch für Administrator-Konten. Davon ist 
aber im Normalfall abzuraten, denn das er- 
schwert das Arbeiten unnötig: Wenn die 
SRP nur für Nutzer mit eingeschränkten 
Rechten gelten, können Sie bei Bedarf ein 
Programm per Rechtsklick „Als Adminis- 
trator ausführen“ und so beliebige Pro- 
gramme starten. Für Programme, die oh- 
nehin Admin-Rechte brauchen, müssen die 
dann auch keine Regeln erstellen. Und falls 
der Abgabetermin mal wieder wichtiger als 


Noteingänge 


Software Restriction Policies schützen 
vor dem Start unerwünschter Anwen- 
dungen, aber wie jeder andere Schutz- 
mechanismus kann das mitunter im fal- 
schen Moment passieren: Wenn die auf 
dem Desktop-PC erstellte Präsentation 
auf dem Notebook nicht starten will, 
weil das Office-Paket noch nicht er- 
laubt wurde, will man kaum vor den 
Augen des Chefs erst mit Regeln han- 
tieren, sondern nur, dass es jetzt sofort 
geht. Kein Problem: Rechtsklick auf das 
Programm, „Als Administrator ausfüh- 
ren", läuft. 

Falls es nicht um einen hektischen 
Einzelfall geht, sondern Sie sich beim 
Konfigurieren der Regeln verhaspelt 
haben, hilft Noteingang Nummer 2: 
Einfach alle Regeln löschen und von 
vorn anfangen. Falls selbst Restric'tor 
nicht mehr laufen sollte, löschen Sie 
mit regedit den kompletten Registry- 
Schlüssel HKEY_LOCAL_MACHINE\Sof t - 
ware\Policies\Microsoft\Windows\safer. 
Schlimmstenfalls erledigen Sie das im 
abgesicherten Modus - da sind SRP 
grundsätzlich nicht aktiv. SRP können 
Sie von Ihrem Rechner daher nicht 
dauerhaft aussperren. 


alles andere ist, können Sie so auch bei ak- 
tiven SRP mal eben das gerade lebensnot- 
wendige Programm starten, selbst wenn es 
dafür noch keine Ausnahmeregel gibt. 

Auch das Installieren von Anwendun- 
gen ist problemlos möglich: Starten Sie 
das Setup-Programm einfach als Admin. 
Wenn es die Anwendung korrekt in den 
Programme-Ordner installiert, brauchen 
Sie anschließend nicht mal eine neue Aus- 
nahmeregel dafür zu erstellen. 

Nur mal gucken! 

Wer nun wissen will, wie sich SRP auf dem 
eigenen Rechner auswirken, kann einen 
harmlosen Probelauf starten und lässt 
Windows in einer Log-Datei sämtliche 
Programmstarts protokollieren, die bei 
aktiven SRP von den Regeln überwacht 
worden wären. Auf diese Weise können 
Sie herausfinden, was SRP auf Ihrem 
Rechner bewirken würden, ohne sie dafür 
aktivieren zu müssen. 

Dazu laden Sie sich unter ct.de/ym5g 
unser Programm „Restric’tor“ herunter 
und starten es als Administrator. Im ersten 
Reiter ganz unten können Sie die Log- 
Datei erzeugen. Hangeln sie sich im 
„Durchsuchen“-Dialog zu einem beliebi- 
gen beschreibbaren Ordner durch, tippen 
Sie einen Dateinamen ins entsprechende 
Feld und klicken Sie auf Speichern. Nun 
noch auf „Anwenden“ klicken, die Nach- 
frage bestätigen und schon erstellt Win- 
dows die Log-Datei. Lesen können Sie sie 
beispielsweise mit Notepad. 

Die Log-Datei enthält keine persönli- 
chen Informationen, sondern nur wenige 
Angaben zum jeweils protokollierten Er- 
eignis: Jeder Eintrag beginnt mit dem 
Namen des auslösenden Prozesses, also 
beispielsweise svchost.exe beim Start von 
Diensten oder explorer.exe, wenn Sie selbst 
Anwendungen aus dem Startmenü oder 
eben aus dem Explorer starten. Es folgen 
die Prozess-ID (PID), Name und Pfad des 
gestarteten Programms sowie schließlich 
die ID jener Regel, die den Start erlaubt 
hat. Da Windows nicht mehr Informatio- 
nen speichert und nur bei Programmstarts 
etwas in die Log-Datei schreibt, bleibt sie 
normalerweise auch nach Wochen wenige 
MByte klein. 

Um sich einen Überblick zu verschaf- 
fen, wie viele Ausnahmeregeln zusätzlich 
zu den Standard-Regeln für den Win- 
dows- und den Programme-Ordner wohl 


Benutzerkontensteuerung X 

Möchten Sie zulassen, dass durch diese App 
Änderungen an Ihrem Gerät vorgenommen 
werden? 


O autoruns 

Verifizierter Herausgeber: Microsoft Corporation 
Dateiursprung: Festplatte auf diesem Computer 

Weitere Details anzeigen 

Ja Nein 


Solche Nachfragen mögen nerven, wenn 
man das fragliche Programm gerade 
selbst gestartet hat. Doch falls solche 
Nachfragen aus dem Nichts erscheinen, 
sind sie ein deutliches Alarmsignal. 

nötig werden, nutzen Sie Ihren PC nach 
dem Aktivieren der Log-Datei einfach ein 
paar Tage wie gewohnt weiter. Danach 
schauen Sie in die Log-Datei. Tipp: Falls 
Sie sie zu unübersichtlich finden, kopieren 
Sie den kompletten Inhalt kurzerhand in 
eine Tabelle eines Office-Pakets und sor- 
tieren nach der Spalte mit den Pfadanga- 
ben. Interessant sind nur die Zeilen, in 
denen die Pfade anders beginnen als mit 
den genannten Ausnahmen „C:\Program 
Files“ und „C:\Windows“; unter einem 
64-bittigen Windows erfassen die Stan- 
dard-Regeln zusätzlich den Ordner 
„C:\Program Files (x86)“. 

Bei unseren Tests passierte es mitun- 
ter, dass Windows bei tagelanger Laufzeit 
irgendwann das Protokollieren in der Log- 
Datei bis zum nächsten Neustart stoppte. 
Einen Grund dafür haben wir nicht finden 
können. Dramatisch ist das allerdings 
nicht, denn erstens reicht ein Neustart 
zum Lösen des Problems und zweitens 
gibt es weitere Optionen der Überwa- 
chung der SRP, die zuverlässig funktionie- 
ren - mehr dazu im Kasten auf Seite 86. 

Änderungen durch SRP 

Auch wenn alle Apps aus dem Store sowie 
die meisten herkömmlichen Programme 
problemlos bei aktivierter SRP laufen, 
muss man sich doch mitunter umgewöh- 
nen. So erkennt Windows beispielsweise 
Programme, die Administratorrechte 
brauchen, entweder anhand einiger fest- 
gelegter Dateinamen wie setup.exe oder 
install.exe oder aber an einem in der Datei 
steckenden Manifest, welches die Rechte 
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anfordert. Die Überwachung durch die 
SRP schlägt aber in allen Fällen vorher zu 
und verhindert so das Anfordern und 
damit den Start des Programms. Auch hier 
hilft wieder, das Programm einfach per 
Rechtsklick und „Als Administrator aus- 
führen“ zu starten. Sie erkennen solche 
Programme am kleinen Schild unten 
rechts im Programmsymbol. 

Wer gern portable Anwendungen 
nutzt, die ohne Installation auskommen, 
kann das auch bei aktiven SRP. Für por- 
table System-Utilities, die ohnehin nur mit 
Admin-Rechten laufen, sind nicht mal Re- 
geln erforderlich. Für alle anderen erzeugt 
man kurzerhand Hash-Regeln. Problema- 
tisch werden nur portable Anwendungen, 
die gelegentlich oder gar häufig Updates 
brauchen, wie Browser oder Mail-Client. 
Hier müssten Sie dann jedes Mal die Re- 
geln anpassen, und zwar sowohl für das 
Update -Programm als auch für das Pro- 
gramm selbst sowie gegebenenfalls für 
das Wrapper-Programm, das dafür sorgt, 
dass die Anwendung überhaupt portabel 
ist. Das ist nach unseren Erfahrungen auf 
Dauer nur was für Menschen mit sehr be- 
lastbarem Nervenkostüm. Wir empfehlen 
stattdessen, statt der portablen die instal- 
lierbaren Versionen solcher Programme 
zu verwenden, denn im Programme-Ord- 
ner klappts auch mit dem Update. 

In Einzelfällen kann es aber auch bei 
installierten Anwendungen zu Schwierig- 
keiten kommen. So lässt sich Googles 
Browser Chrome je nach Fassung wahl- 
weise ins Nutzerprofil installieren, von wo 
aus er aber nur mit zusätzlichen Regeln 
laufen würde - die dank regelmäßiger Up- 
dates immer wieder anzupassen wären. 
Empfehlenswert ist hier, Chrome stattdes- 
sen in den Programme-Ordner zu instal- 
lieren: Dann klappt alles inklusive Up- 
dates auch ohne zusätzliche Regeln. Noch 
etwas anders liegt der Fall bei Spotify: Der 
Client will sich grundsätzlich ins Benut- 
zerprofil installieren, was dank ständiger 
Updates immer wieder eine Regel-Pflege 
erfordert. Doch auch hier gibt es Abhilfe: 
den Webplayer. Er läuft ganz ohne Aus- 
nahmeregeln im Browser; Sie finden ihn 
unter play.spotify.com. Weitere Schwie- 
rigkeiten sind uns mit Electron-Apps wie 
Whatsapp aufgefallen, die ebenfalls im 
Benutzer-Ordner liegen, sowie mit One- 
drive, Steam und Origin. Hier waren je- 
weils Ausnahmeregeln erforderlich. 


Mitunter gibt es jedoch auch bei im 
Programme-Ordner installierten Anwen- 
dungen Schwierigkeiten beim Update. 
Der PDF-Viewer Foxit Reader beispiels- 
weise erzeugt eine Updater.exe im Temp- 
Ordner des Benutzerprofils, doch von dort 
darf sie bei aktiver SRP nicht starten. Eine 
Pfad-Regel als Ausnahme hinzuzufügen 
verbietet sich, weil der Benutzer hier ja 
Schreibrechte hat. Abhilfe bringt hier, ent- 
weder für die updater.exe eine Hash- 
Regel zu erstellen, die dann aber immer 
dann aktualisiert werden muss, wenn 
auch updater.exe aktualisiert wurde, oder 
aber die automatischen Updates abzustel- 
len und stattdessen gelegentlich den Rea- 
der als Administrator zu starten, um ihn 
Updates installieren zu lassen. 

Beim Umgang mit Skripten muss man 
sich bei aktivierten SRP etwas umgewöh- 
nen, denn als ausführbare Dateien unter- 
liegen sie ja der SRP-Überwachung. Bei- 
spielsweise klappt bei Batch-Dateien ein 
Klick auf „Bearbeiten“ in deren Kontext- 
menü zum Öffnen mit Notepad nicht 
mehr. Sie können aber problemlos zuerst 
Notepad starten und das Skript dann über 
dessen Menü oder per Drag & Drop aus 
dem Explorer öffnen und bearbeiten. Das 
Ausführen des Skripts klappt dann aber 
wieder nur mit Administratorrechten oder 
nach dem Erstellen einer passenden 
Regel. 

Die Windows PowerShell läuft bei 
aktiven SRP in einem „Constrained 


Language Mode“, in dem der Zugriff auf 
die meisten COM- und .NET-Objekte 
verboten ist. Gewöhnliche Cmdlets funk- 
tionieren aber wie gewohnt und in 
PowerShell-Sessions, die mit Administra- 
torrechten gestartet wurden, ändert sich 
nichts. Details erläutert der Befehl Get- 
Help about_Language_Modes. 

In der Log-Datei werden Ihnen auch 
immer wieder Einträge zu .Ink-Dateien 
auffallen, die Sie bei der Durchsicht aber 
einfach ignorieren können. Hier geht es 
nur um Verknüpfungen, die aus Sicher- 
heitssicht völlig unkritisch sind, weil das 
Ziel der Verknüpfung ja ebenfalls von SRP 
überwacht wird - mehr dazu im nachfol- 
genden Artikel. 

Und los ... 

Nach dem Auswerten der Log-Datei kön- 
nen Sie sich entscheiden, auf welchen ei- 
genen oder von Ihnen betreuten PCs Sie 
SRP aktivieren wollen. Wie genau das mit 
Restric’tor funktioniert, zeigt der nachfol- 
gende Artikel. Er erläutert auch, wie Sie 
das Blockieren von Programmen mög- 
lichst bequem überwachen können. 

(axv@ct.de) c ’t 

Literatur 

[1] Olivia von Westernhagen, Jürgen Schmidt, Die 
unsichtbare Gefahr, Dateilose Infektion umgeht 
Schutzfunktionen, c't 7/17, S. 96 
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Richtig konfiguriert, 
lassen sich auch bei 
aktivierten SRPs noch 
beliebige Programme 
starten, wenn man 
das ausdrücklich als 
Administrator macht. 
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Schotten dicht! 

Mit Restric'tor zum sicheren Windows 


ln die Windows-Ausgaben, die 
für den Einsatz in Unternehmen 
vorgesehen sind, baut Microsoft 
Funktionen ein, um sie zuverlässig 
vor Hacker-Angriffen zu schützen. 
Anwendern mit Windows Home 
bleibt der Zugang zu diesen 
Funktionen verwehrt - bislang: 

Mit dem c't-Programm Restric'tor 
können Sie alle Windows-Editionen 
konfigurieren. 

Von Hajo Schulz 

S chadprogramme wie Viren oder 
Trojaner sind darauf angewiesen, 
Code auf dem Opfer-Rechner aus- 
zuführen. Um schädliche Programme aus- 
zusperren, scannt beispielsweise Antivi- 
rensoftware die Dateien auf der Festplatte 
und versucht, Code zu entdecken, der dem 


bereits bekannter Schädlinge ähnelt. Je 
nach dem Geschick der Entwickler gelingt 
ihr das mehr oder weniger erfolgreich. 

Der perfekte Schutz eines idealen Sys- 
tems bestünde wohl darin, es schlicht gar 
keinen Code mehr ausführen zu lassen, 
dessen Harmlosigkeit nicht zweifelsfrei be- 
legt ist. Tatsächlich enthält Windows einen 
Mechanismus, mit dem man diesem Ziel 
sehr nahekommen kann: die „Richtlinien 
für Softwareeinschränkung“, englisch 
„Software Restriction Policies“ oder kurz 
SRP. Damit lassen sich Regeln definieren, 
die Windows anweisen, nur noch Program- 
me aus einer zuvor festgelegten Liste aus- 
zuführen - unbekannter Code hat keine 
Chance mehr, Schaden anzurichten oder 
sich gar dauerhaft im System einzunisten. 

Gedacht sind diese Richtlinien ei- 
gentlich dazu, dass Administratoren in 
Unternehmen den Katalog der erlaubten 
Anwendungen definieren und über Grup- 


penrichtlinien an alle Rechner in der 
Windows-Domäne verteilen. Werkzeuge 
zum Bearbeiten der Regeln bringen folge- 
richtig nur die für den Einsatz in Firmen 
vorgesehenen Professional-, Enterprise- 
und Ultimate -Ausgaben von Windows 
mit. Technisch sind diese Regeln aber 
nichts anderes als automatisch generierte 
Registry-Einträge. Wenn sie vorhanden 
sind, richtet sich auch ein Windows Home 
nach ihnen. Das nutzt unser Tool Re- 
stric’tor aus, das wir im Folgenden vorstel- 
len: Es läuft unter allen Windows-Editio- 
nen seit Windows 7 und lässt Sie einiger- 
maßen komfortabel die Registry-Schlüs- 
sel und -Werte der SRP bearbeiten. 

Gibt es für Home-Anwender außer 
dem mühsamen und fehlerträchtigen He- 
rumfrickeln direkt in der Registry kaum 
eine Alternative zu Restric’tor, müssen 
sich Pro- und Ultimate -Anwender ent- 
scheiden: Mit dem in ihrem Windows ent- 


82 




c't 2017, Heft 10 



Windows: Software Restriction Policies | Praxis 


haltenen „Editor für lokale Gruppenricht- 
linien“ (gpedit.msc) oder der „Lokalen Si- 
cherheitsrichtlinie“ (secpol.msc) lassen 
sich in puncto SRP praktisch dieselben 
Einstellungen vornehmen wie mit Re- 
stric’tor. Hinter den Kulissen ist die Vor- 
gehensweise aber eine komplett andere: 
Während Restric’tor direkt die zuständi- 
gen Registry-Einträge liest und schreibt, 
laden die Microsoft-Werkzeuge die Ein- 
stellungen zunächst in der lokalen Grup- 
penrichtlinie ab, von wo Windows sie 
beim Speichern und bei jedem System- 
start in die Registry übernimmt. Anders 
gesagt: Restric’tor stellt stets die aktuell 
gültigen Systemeinstellungen dar, wäh- 
rend die Windows-eigenen Editoren eher 
indirekt arbeiten. Daher sollten Sie es ver- 
meiden, mal dieses und mal jenes Tool zu 
verwenden - Verwirrung wäre program- 
miert. Um Richtlinien zum Verteilen in 
einer Domäne vorzubereiten, eignet sich 
Restric’tor nicht; hier sind die Windows- 
eigenen Werkzeuge alternativlos. 

Den Restric’tor gibt es unter ct.de/ 
y9wc zum Download. Für ein erstes Aus- 
probieren können Sie die EXE-Datei ein- 
fach in irgendeinen Ordner auf Ihrer Fest- 
platte kopieren - auf eine sichere Installa- 
tion für die regelmäßige Benutzung gehen 
wir weiter unten noch ein. Restric’tor er- 
fordert ein installiertes .NET Framework 
ab Version 4.0; die Windows-Versionen ab 
Windows 8 haben alles Benötigte von 
vornherein an Bord, unter Windows 7 rüs- 
ten die „Empfohlenen Updates“ .NET 4.5 
nach. Das Programm benötigt Adminis- 
tratorrechte. 

Kennenlernen 

Wenn Sie sich auf Ihrem PC noch nie mit 
Software Restriction Policies beschäftigt 
haben, wird auf der Seite „Allgemein“ von 
Restric’tor einzig die von Windows vor- 
gegebene Option „Administratoren ein- 
schließen“ ausgewählt sein; die Liste der 
Regeln auf der zweiten Seite ist leer. Zu 
diesem Zustand (der Schutzlosigkeit) kön- 
nen Sie jederzeit zurückkehren, indem Sie 
im Menü den Befehl „Datei/SRP-Richtli- 
nie komplett löschen“ wählen. Dies ist üb- 
rigens die einzige Aktion in Restric’tor, die 
sich sofort auf Ihr Windows auswirkt. Alle 
anderen Einstellungen, die Sie in dem 
Programm vornehmen, werden erst aktiv, 
nachdem Sie die Schaltfläche „Anwen- 
den“ am unteren Fensterrand anklicken. 


Sollten Sie sich mit den Optionen von 
Restric’tor mal versehentlich so verhas- 
pelt haben, dass das Programm selbst sich 
nicht mehr starten lässt, können Sie die 
SRP direkt in der Registry zurücksetzen: 
Löschen Sie einfach den kompletten 
Schlüssel HKEY_LOCAL_MACHINE\Software\Po- 
licies\Microsof t\Windows\safer. Extrem 
experimentierfreudigen Naturen könnte 
es sogar gelingen, die SRP so zu konfigu- 
rieren, dass selbst das Programm regedit 
nicht mehr startet. Ihnen bleibt dann nur, 
Windows im abgesicherten Modus zu 
starten: Dort werden die Richtlinien nicht 
beachtet und der Registrierungs-Editor 
lässt sich auf jeden Fall benutzen. 

Der Hauptschalter für die SRP besteht 
in Restric’tor aus den Optionen unter 
„Standard-Sicherheitsstufe“. „Nicht ein- 
geschränkt“ entspricht dem Auslieferungs- 
zustand von Windows: Die passenden Be- 
nutzerrechte vorausgesetzt führt das Be- 
triebssystem jedes Programm ungefiltert 
aus. Eingeschaltet wird die SRP-Prüfung 
mit „Nicht erlaubt“: Damit ist zunächst 
einmal die Ausführung sämtlicher Pro- 
gramme verboten - nicht einmal die EXE- 
Dateien, die zum Betriebssystem gehören, 
würden starten; Windows wäre ohne wei- 


tere Vorkehrungen unbenutzbar. Beim 
Klick auf „Anwenden“ prüft Restric’tor 
aber, ob so ein Zustand eintreten würde, 
und verweigert im Zweifel das Schreiben 
in die Registry mit einer Fehlermeldung. 

Die Option „Standardbenutzer“ hat 
eigentlich nur unter Windows Server eine 
Bedeutung und ist auf dem Desktop nicht 
zu empfehlen. Restric’tor bietet sie ledig- 
lich der Vollständigkeit halber an. Ihr 
Effekt entspricht im Wesentlichen der 
Einstellung „Nicht erlaubt“. 

Der Schalter „Bibliotheken prüfen“ 
bringt zwar etwas zusätzliche Sicherheit, 
drückt aber sehr stark auf die Gesamt-Per- 
formance des Systems und ist deshalb 
nicht zu empfehlen. Er ist in Restric’tor 
eigentlich nur deshalb vorhanden, damit 
Sie ihn ausschalten können, falls er durch 
ein anderes Werkzeug aktiviert wurde. 

Dasselbe gilt für die widersinniger- 
weise von Windows selbst aktivierte Vor- 
gabe „Administratoren einschließen“. Da- 
mit sägen Sie unter Umständen den Ast 
ab, auf dem Sie sitzen: Wenn die anderen 
SRP-Optionen die Ausführung von Re- 
stric’tor nicht explizit erlauben, können 
Sie ihn (und alle anderen Programme) im- 
mer noch per Rechtsklick „Als Adminis- 


E Restric'tor — □ X 

ßatei Hilfe 
Allgemein Regeln 

Standard-Sicherheitsstufe 
(•) ^ich? erlaubt 

D e Software w'rd trotz ee' Berecht gurger* ces Berutsers r'cht avsge'u-rt .\e'ce- <c--e-. 

O £tanbardbenutzer 

£m*og cm. cas Ausfü-rer von »rcgrarrme- a s 3 a--tze' cer zwar r'cht über Aon* > stratorrecht« verfügt ce' aoe- c er* 
g echer Zug r'ff auf Ressc-.'cer -at w'e a-ce'e Serjtzer. 

O Nicht eingeschränkt 

Scftwarezjgriffsrechte werden vor* ce- Zugr'ffsrecrten oes Benutzers oest mmt 
Erzwingen 

□ ßiblotheken prüfen 

R ent n'er für Sc'tv.a'ee -scnra-<^*ger auch auf B o ctr*e<er* [z. B. DL-s arwender. 

I~~l Administratoren einschlie3en 

R ent > er* für Sc'tv.a-ee -sc-ra-ku-ger* a-f a e Benutzer -< us've o<a e Aom r'r.rato'er* anwenden 

Zusätzliche Dateitypen 
| Bearbeiten - | 

Protokoll 

jjOg-Datei: C:\ProgramData\SRP.log | Durchsuchen _| 

Leerer Date -an*e sc-a tet c e Rrctokc e r --g ao 

j Verwerfen | j .An^venäen | 


Die wichtigsten Optionen zum Konfigurieren der Software 
Restriction Policies versammelt Restric'tor auf der ersten Seite. 
Die Standard-Sicherheitsstufe entscheidet darüber, ob sie 
überhaupt beim Laden von Programmen eingreifen. 
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Restric'tor 


□ 


X 


Datei Hilfe 
Allgemein Regeln 


Name 

Typ 

Sicherheitsstufe 

• Beschreibung 

Datum der letzten Änderun 


%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows N7\CurrentVersion\SystemRc 

Pfad 

Nicht eingeschränkt 


19.042017 1227:11 


%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFiles 

Pfad 

Nicht eingeschränkt 

c't-Empfehlung 

19.042017 1227:11 


%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFiles 

Pfad 

Nicht eingeschränkt 


1904.2017 1227:11 


%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wmdows\CurrentVersion\ProgramW64 

Pfad 

Nicht eingeschränkt 

c't-Empfehlung 

1904.2017 12:27:11 


D:\Programme 

Pfad 

Nicht eingeschränkt 

Zusätzliche Programme auf D: 

19.04.2017 12*1:12 


dismhostexe Version 10.0.14393.0 (rs1_release.160715-1616) 142 KB 16.072016 08.-04:2 

Hash 

Nicht eingeschränkt 

c't-Empfehlung 

19.04.2017 1227:11 


Restrictor.exe Vers.on 0.9.1.0231 KB 18.042017 14:09:17 

Hash 

Nicht eingeschränkt 

c't-Empfehlung 

19.042017 12:27:11 


CAProgram Files (x86)\Resource Hacker 

Pfad 

Nicht erlaubt 

Automatisch hinzugefügt 

1904.2017 1228*1 


C:\Program Files\Grt\dev 

Pfad 

Nicht erlaubt 

3Ü Automatisch hinzugefügt 

19.04.2017 12:28:32 


CAProgram Files\Microsoft SQL ServeA130\Shared\ErrorDumps 

Pfad 

Nicht erlaubt 

Automatisch hinzugefügt 

19.04.2017 12:28:32 


C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 

Pfad 

Nicht erlaubt 

Automatisch hinzugefügt 

19.04.2017 122826 


C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 

Pfad 

Nicht erlaubt 

Automatisch hinzugefügt 

1904.2017 12:28.26 


C:\WINDOWS\PLA\Reports 

Pfad 

Nicht erlaubt 

Automatisch hinzugefügt 

19.04.2017 1228:26 


C:\WINDOWS\PLA\Rules 

Pfad 

Nicht erlaubt 

Automatisch hinzugefügt 

19.04.2017 1228:26 


C:\WINDOWS\PLA\Templates 

Pfad 

Nicht edaüot 

Automatisch hinzugefügt 

1904.2017 122826 


C AWI N DOWSNRegistrab o n\C RM Log 

Pfad 

Nicht erlaubt 

Automatisch hinzugefügt 

1904.2017 12:28:26 


C:\WINDOWS\ServiceProfiles\LocalService\AppData\Local\Microsoft\Dlna\Devicelcons 

Pfad 

Nicht erlaubt 

Automatisch hinzugefügt 

1904.2017 12:28:26 

C:\WINDOWS\servicing\Packages 

Pfad 

Nicht erlaubt 

Automatisch hinzugefügt 

1904.2017 1228:26 

C:\WINDOWS\servicing\Sessions 

Pfad 

Nicht erlaubt 

| Automatisch hinzugefügt 

19.042017 122826 

C:\WINDOWS\System32\Com\dmp 

Pfad 

Nicht erlaubt 

Automatisch hinzugefügt 

1904.2017 12:2826 

C:\WINDOWS\System32\FxsTmp 

Pfad 

Nicht erlaubt 

Automatisch hinzugefügt 

1904.2017 1228:26 

C:\WINDOWS\System32\LogFiles\WMI 

Pfad 

Nicht erlaubt 

Automatisch hinzugefügt 

19.04.2017 12:28:26 

C:\WINDOWS\System32\Micrasoft\Crypto\RSA\MachineKeys 

Pfad 

Nicht erlaubt 

Automatisch hinzugefügt 

1904.2017 122826 

C AWI N DOWS\System32\spool\drivers\color 

Pfad 

Nicht erlaubt 

Automatisch hinzugefügt 

1904.2017 12:28:26 v 





S' > 


| Verwerfen | |i Amvenden J 


Die zweite Seite von 
Restric'tor dient dazu. 
Regeln zu definieren, 
nach denen die SRP 
vertrauenswürdige Pro- 
gramme identifizieren. 
Ohne solche Regeln 
wäre der Rechner bei 
eingeschalteten SRP 
unbenutzbar. 


trator starten“. Der Schalter „Administra- 
toren einschließen“ verhindert das. Mit 
etwas Unachtsamkeit blockieren Sie so so- 
gar den Registry-Editor und sind auf den 
abgesicherten Modus angewiesen, um die 
SRP anders zu konfigurieren. 

Damit die Erlaubnis zum Ausführen 
von Programmen mit Administratorrech- 
ten nicht zu einem Loch wird, durch das 
sich doch wieder unbekannte und mögli- 
cherweise gefährliche Software in Ihr 
Windows einschleicht, sollten Sie in der 
Systemsteuerung unter „Sicherheit und 
Wartung“ die „Einstellungen der Benut- 
zerkontensteuerung“ aufrufen. Schieben 
Sie den Regler für die Benachrichtigungen 
mindestens auf die zweite Stufe von oben, 
besser ganz hinauf. Sollte in der Folge eine 
der bekannten Sicherheitsabfragen der 
Benutzerkontensteuerung („Möchten Sie 
zulassen, dass durch diese App Änderun- 
gen an Ihrem Gerät vorgenommen wer- 
den?“) aus dem Nichts auftauchen, ist das 
ein sicheres Zeichen dafür, dass irgendein 
Programm versucht, sich an den SRP vor- 
beizumogeln. Im Zweifel ist dann „Nein“ 
die richtige Antwort. 

Wie schon gesagt dienen die SRP 
dazu, das Laden von ausführbarem Code 
zu verhindern, der dem System schaden 
könnte. Code wird von Windows aber 
nur gestartet, wenn er in einer Datei 
steckt, die das System entweder als direkt 
ausführbar kennt oder die einem Pro- 
gramm zugeordnet ist, das seinerseits 
den enthaltenen Code ausführen kann. 
Die Dateitypen, die aus Sicht der SRP in 
die zweite Kategorie fallen, bestimmt die 


Liste, die sich in Restric’tor bei einem 
Klick auf „Bearbeiten“ unter „Zusätzli- 
che Dateitypen“ öffnet. Um sie nicht von 
Hand füllen zu müssen, sollten Sie bei 
der Ersteinrichtung der SRP einen der 
Befehle „Microsoft-Standardwerte la- 
den“ oder besser „c’t-Empfehlung laden“ 
aus dem Datei-Menü in Restric’tor aus- 
wählen. Die Liste der überwachten Da- 
teitypen unterscheidet sich bei beiden 
nur in einem Eintrag: .LNK-Dateien zu 
überwachen, wie Microsoft vorgibt, hal- 
ten wir für überflüssig, denn eine Ver- 
knüpfung ist ja für sich alleine genom- 
men nicht gefährlich, selbst wenn sie ein 
böses Programm anlegt. Entscheidend 
ist, dass das Ziel überwacht wird, auf das 
sie verweist - und darum kümmern sich 
die anderen SRP-Regeln. 

Mit dem Eingabefeld „Log-Datei“ 
können Sie Windows anweisen, sämtliche 
Programmstarts zu protokollieren. Jeder 
Eintrag vermerkt, ob die SRP das Pro- 
gramm zugelassen oder blockiert haben 
und welche Regel für die Entscheidung 
verwendet wurde. Das ist vor allem sinn- 
voll, um sich vor dem Scharfschalten der 
SRP zunächst einen Eindruck davon zu 
verschaffen, wo im laufenden Betrieb mit 
Hindernissen zu rechnen ist - siehe den 
vorangegangenen Artikel auf Seite 76. 

Sind die SRP aktiv, gibt es einen bes- 
seren Weg, ihre Arbeit unter Beobachtung 
zu halten: Jedes Mal wenn sie einen Pro- 
grammstart verhindern, schreibt Win- 
dows einen Eintrag in das System-Log, wo 
sich die Aktivitäten dann mit der Ereignis- 
anzeige verfolgen oder mit geeigneten 


Werkzeugen automatisch auswerten las- 
sen - siehe Textkasten auf Seite 86. 

Regelkunde 

Die eben schon erwähnten Restric’tor-Me- 
nübefehle zum Laden einer Grundkonfigu- 
ration initialisieren nicht nur die Liste der 
überwachten Dateitypen, sondern legen 
auch schon einige Regeln an, die in der Lis- 
te auf der gleichnamigen zweiten Seite er- 
scheinen. Deren Notwendigkeit erschließt 
sich, wenn man sich vergegenwärtigt, wie 
die SRP funktionieren: Mit der Standard- 
Sicherheitsstufe „Nicht erlaubt“ ist zu- 
nächst einmal das Ausführen sämtlicher 
Programme verboten. Damit Windows 
funktioniert und Sie vernünftig arbeiten 
können, muss es Ausnahmen geben - und 
genau die bestimmen Sie mit den Regeln. 

Ziel der SRP ist es, nur noch Code zu- 
zulassen, dem Sie vertrauen. Dieses Prädi- 
kat verdient zunächst einmal alles, was zu 
Windows selbst gehört, also der Inhalt des 
System-Ordners. Der heißt normalerweise 
C:\Windows, kann aber in Einzelfällen 
auch mal woanders liegen. Deshalb ver- 
weist die zuständige Regel nicht direkt auf 
C:\Windows, sondern über den Registry- 
Eintrag HKEY_LOCAL_MACHINE\Software\Micro 
SoftWindows NT\Curr'entVension\SystemRoot. 
Ähnliches gilt für die Ordner „Programme“ 
und „Programme (x86)“, in die Sie norma- 
lerweise Anwendungen installieren. 

All diesen Ordnern ist gemeinsam, 
dass dort nur Prozesse schreiben dürfen, 
die mit Administrator- oder Systemrech- 
ten laufen: im Systemordner etwa Win- 
dows Update und in den Programmver- 
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zeichnissen Setup-Programme, die Sie 
ausdrücklich mit Administratorrechten 
gestartet haben. Sofern Sie die Sicher- 
heitsabfragen der Benutzerkontensteue- 
rung ernst nehmen, enthalten diese Ord- 
ner also nur Code, dem Sie schon einmal 
explizit vertraut haben. 

Pfad-Regeln mit der Sicherheitsstufe 
„Nicht eingeschränkt“ sind also dazu da, 
Ordner zu identißzieren, in denen ver- 
trauenswürdiger Code hegt. Damit diese 
Eigenschaft erhalten bleibt, sollten Sie 
auf keinen Fall an den Rechten dieser 
Ordner herumdoktern und normalen 
Benutzern Schreibzugriff gewähren. Das 
wäre dann nämlich genau das Einfallstor, 
auf das die Programmierer etwa von 
Erpressungstrojanern warten: Ein unbe- 
dacht angeklickter Mail-Anhang oder ein 
Dokument mit versteckten Makros könn- 
te dort Code abladen und sich so ins Sys- 
tem einnisten. 


Wenn Sie diesen Grundsatz beachten, 
können Sie in Restric’tor selbstverständ- 
lich auch weitere Pfad-Regeln mit der 
Sicherheitsstufe „Nicht eingeschränkt“ 
anlegen: Der „+“-Knopf neben der Regel- 
liste bringt ein Menü zum Vorschein, in 
dem sich unter anderem der Befehl „Neue 
Pfad-Regel“ findet. 

In Frage kommt zum Beispiel ein 
Ordner auf einem anderen als dem Sys- 
temlaufwerk, in den Sie gelegentlich Pro- 
gramme installieren, etwa um den Platz 
auf der knapp bemessenen System-SSD 
zu schonen. Dann sollten Sie in diesem 
Ordner aber auch normalen Benutzern 
die Schreibrechte entziehen. Bewährt hat 
sich, in so einem Ordner dieselben Rechte 
zu vergeben, die auch im standardmä- 
ßigen Programme-Ordner gelten. Am 
einfachsten erreichen Sie das, indem Sie 
dessen Rechte kopieren, zum Beispiel mit 
der Befehlsfolge 


$acl = Get-Acl "C:\Program Files" 
Set-Acl "DAProgramme" $acl 

Eingeben müssen Sie diese Kommandos 
in eine mit Administratorrechten gestar- 
tete PowerShell; in der zweiten Zeile ist 
der Name des Zielordners gegebenenfalls 
anzupassen. 

Ausnahme von der Ausnahme 

Leider enthält schon der Systemordner ei- 
ner frischen Windows-Installation einige 
Verzeichnisse, in die man mit einge- 
schränkten Benutzerrechten schreiben 
kann. Auch im Programme-Ordner sind 
uns auf einigen Rechnern von Benutzern 
beschreibbare Verzeichnisse untergekom- 
men - unverantwortlicherweise stammten 
auch die offenbar von Installationen von 
Microsoft-Programmen. Die Rechte dieser 
Ordner einzuschränken, damit sich dort 
keine Malware breit machen kann, ist al- 
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lerdings keine gute Idee, denn das könnte 
die Funktion der betroffenen Programme 
beeinträchtigen. Vielmehr sollte man die 
SRP so konfigurieren, dass das Ausführen 
von Programmen aus diesen Verzeichnis- 
sen verboten ist. Dafür sind Ordnerregeln 
mit der Sicherheitsstufe „Nicht erlaubt“ 
gedacht. Um solche Ordner zu identifizie- 
ren, enthält Restric’tor den Menübefehl 
„Datei/Ordner prüfen“. Auf dem Dialog, 
den er auf den Plan ruft, klicken Sie ein- 
fach die Schaltfläche „Ordner suchen“ an. 
Daraufhin prüft Restric’tor die Rechte in 


den Unterverzeichnissen sämtlicher Ord- 
ner, für die eine „Nicht eingeschränkt“- 
Ordnerregel konfiguriert ist. Alle Ordner, 
in die Sie ohne Administratorrechte schrei- 
ben dürfen, zeigt er in der Liste auf dem 
Dialog an. Ein Klick auf OK erzeugt für 
jeden Eintrag, bei dem Sie nicht das 
Häkchen entfernt haben, eine Ordnerregel 
der Sicherheitsstufe „Nicht erlaubt“. 

Extrawurst 

Auf den meisten Windows-Rechnern fin- 
den sich auch außerhalb der Windows- 


und Programme-Ordner Programme, auf 
die der Anwender nicht verzichten möch- 
te: Auf die Schnelle heruntergeladene 
Spezialwerkzeuge ohne eigenes Installa- 
tionsprogramm gehören ebenso in diese 
Kategorie wie portable Anwendungen, die 
man etwa auf einem USB-Stick mit sich 
herumträgt. 

Für die erste Sorte empfehlen wir, 
einen Unterordner - etwa „Tools“ - im 
Programme-Ordner anzulegen. Um die 
Utilities dort abzulegen, braucht man 
dann einen Dateimanager, den man mit 


Reagieren auf SRP-Ereignisse 


Von Peter Siering 

Wenn eine Software Restriction Policy 
das Ausführen eines Programms verhin- 
dert, notiert Windows ein Event im Ereig- 
nisprotokoll für Anwendungen. Die Wich- 
tigkeit stuft das Betriebssystem als War- 
nung ein, womit die Ereignisse selbst auf- 
merksamen Betrachtern dieser zentralen 
Protokollinstanz entgehen dürften. Man 
muss schon explizit danach suchen, um 
sie im Wust der von Windows dort notier- 
ten Dinge zu finden. 

Einfach gelingt die Suche in der 
Ereignisanzeige über einen Filter, der 
die Quelle „SoftwareRestrictionPolicies" 
auswählt. So erwischt man alle Ereignis- 
arten, auch wenn bei unseren Experi- 
menten nur wenige überhaupt auftre- 
ten, die sich darin unterscheiden, wel- 
che Art von Richtlinie die Ausführung 
eines Programms verhindert hat. 

Nützlich sind sie durchaus: Einen - 
meist schnell weggeklickten - Dialog 
bekommt der Anwender bei einem 
SRP-Treffer nur zu sehen, wenn er den 
Programmstart selbst veranlasst hat; 
Autostarts und geplante Aufgaben 
scheitern stillschweigend. Im Unter- 
schied dazu werden die Ereignisse im 
System-Log in jedem Fall erfasst und 
lassen sich auch später noch nachlesen 
und vor allem weiterverarbeiten. Letz- 
teres könnte in einer Management- 
Lösung geschehen, die alle PCs im 


Netz im Auge behält, oder in kleinerem 
Rahmen, um Kenntnis eventueller SRP- 
Treffer auf einem entfernt stationierten 
PC zu erhalten. 

Aus unserer Sicht gut dafür geeig- 
net ist E-Mail, die idealerweise nicht 
demjenigen zugeht, der den betroffe- 
nen PC benutzt, sondern dem, der ihn 
verwaltet. So lag es nahe, unser in [1, 2] 
vorgestelltes EventWatch-Projekt für 
dieses Nutzungsszenario umzubauen: 
Das dabei herausgekommene SrpWatch 
funktioniert ähnlich, hat sich aber auf 
die SRP-eigenen Ereignisse spezialisiert. 

SrpWatch lauscht über eine geplan- 
te Aufgabe am Ereignisprotokoll. Wenn 
ein Eintrag mit der oben genannten 
Quelle ins Anwendungs-Log gerät, läuft 
das PowerShell-Skript an: Es sendet dann 


die seit dem letzten Lauf hinzugekomme- 
nen Einträge per E-Mail an eine beim Ein- 
richten vorgegebene Adresse. Damit bei 
akutem Trojanerbefall das Konto nicht 
geflutet wird, läuft das Skript maximal 
alle fünf Minuten. In der Zwischenzeit 
aufgelaufene Ereignisse landen dann 
gebündelt in einer Nachricht. 

Die Installation von SrpWatch müs- 
sen Sie nicht wie anfangs die von Event- 
Watch zu Fuß erledigen. Das über den 
Download-Link (ct.de/y9wc) erhältliche 
Installationspaket erledigt alles: Es packt 
die Dateien in die für Programme vorge- 
sehenen Verzeichnisse, fragt die E-Mail- 
Konfiguration ab, testet sie auf Wunsch 
und richtet die geplanten Aufgaben ein. 
Bei der Deinstallation verschwindet all 
das wieder aus dem System. 


Unser Tool SrpWatch 
lauscht am Ereignis- 
protokoll für die SRP 
und benachrichtigt 
Sie per E-Mail, wenn 
eine Regel ein Pro- 
gramm blockiert hat. 
Die Einrichtung 
erledigt eine eigene 
Installationsroutine. 


•• Installation von srpwatch 1.00 


X 


E-Mail -Konfiguration 

Wie und an wen kritische Ereignisse und Fehler gesendet werden 



Absender /Sender 

Empfänger | Jens Mander <jens@example.com> 

Absender | srpwatch <jensigexample.com> 

E-Mail-Versand 

SMTP -Server | smtp.example.com 

Benutzer | <Konto> (optional) 

Passwort | <Passwort> (optional) 


(optional :Port) 


Test-Mail 


Nullsoft Installationssystem v3.01 

< Zurück | Installieren | Abbrechen 
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Unverständlicherweise lässt Microsoft zu, dass normale Benutzer 
in einigen Unterverzeichnissen des Systemordners Schreibzugriff 
haben. Restric'tor hilft dabei, sie zu finden und zu sperren. 


Administratorrechten starten kann. Der 
Favorit des Autors dieser Zeilen heißt 
Double Commander, als Notnagel kann 
auch der „Datei öffnen“-Dialog eines mit 
Administratorrechten gestarteten Note- 
pad herhalten. Ein solcher Tools-Ordner 
ist übrigens auch der empfohlene Spei- 
cherort für den Restric’tor. 

Dieses Vorgehen funktioniert aller- 
dings für die meisten portablen Anwen- 
dungen nicht: Sie benötigen in ihrem ei- 
genen Ordner Schreibrechte, auch wenn 
sie unter einem eingeschränkten Benut- 
zerkonto laufen. Den Ordner zu verram- 
meln scheidet also ebenso aus, wie in ihm 
enthaltenen Code per SRP-Pfad-Regel zu 
erlauben. Letzteres ist für Verzeichnisse 
auf USB-Sticks ohnehin keine gute Idee: 
Die meisten Sticks sind mit dem Datei- 
system FAT32 formatiert. Das kennt aber 
keine Rechteverwaltung, sodass Benut- 
zerprozesse generell überall schreiben 
dürfen - ein ideales Einfallstor für Schäd- 
linge. 

Für solche Fälle kennen die SRP 
Hash-Regeln: Mit ihnen identifiziert man 
jeweils eine einzelne ausführbare Datei 
als vertrauenswürdig. Entscheidend sind 
dabei nicht Merkmale wie Dateipfad, 
-große oder Änderungsdatum, sondern 
eben ein Hash, also ein digitaler Finger- 
abdruck der Datei. Das hat den Vorteil, 
dass eine Malware keine Chance hat, sich 
beispielsweise in ein erlaubtes Programm 
hineinzukopieren: Sie würde den Hash 
dabei unweigerlich verändern. Weil den 
Hash-Regeln der Speicherort der Datei 
egal ist, funktionieren sie außerdem auch, 
wenn der Stick mit den portablen Pro- 
grammen mal einen anderen Laufwerks- 
buchstaben zugewiesen bekommt. 

Der Vorteil, Dateien unverwechselbar 
zu identifizieren, wird allerdings zum 
Nachteil, wenn die betroffene Anwendung 
häufig Updates erhält: Dann muss man je- 
des Mal den Hash neu berechnen, um das 
Programm wieder zuzulassen. Problema- 
tisch sind auch Programme, die sich in ei- 
nen von Benutzern beschreibbaren Ord- 
ner installieren, um sich stillschweigend 
und ohne Sicherheitsabfrage aktualisieren 
zu können: Wenn die SRP plötzlich mel- 
den, dass sie so ein Programm blockiert 
haben, muss man als verantwortungsvol- 
ler Anwender eigentlich jedes Mal prüfen, 
ob sich der Hash durch ein legitimes Up- 
date geändert hat oder womöglich doch 


ein Trojaner eingedrungen ist. Wie das 
mit wenig Aufwand gelingt, erklärt der 
nachfolgende Artikel. 

In Restric’tor legt man eine neue 
Hash-Regel über den „+“-Knopf neben 
der Regelliste und Auswahl von „Neue 
Hash-Regel“ an. Über die „Durchsu- 
chen“-Schaltfläche navigiert man zu der 
gewünschten Programmdatei. Die Datei- 
informationen, die Restric’tor daraufhin 
in das zuständige Feld einträgt, dienen 
nur dazu, die Regel später in der Liste wie- 
derzufinden. Den Hash berechnet das 
Programm im Hintergrund - es handelt 
sich um eine mehr oder weniger zufällige, 
nichtssagende Zeichenfolge. Um eine 
Hash-Regel etwa nach einem Update des 
betroffenen Programms zu aktualisieren, 
rufen Sie sie per Doppelklick oder über 
den Stift-Knopf neben der Regelliste auf 
und wiederholen die Auswahl der Pro- 
grammdatei. Löschen lassen sich Pfad- 
und Hash-Regeln mit dem roten X neben 
der Regelliste. 

Falls Sie sich wundern, warum die Re- 
gelliste nach dem Laden der c’t-Empfeh- 
lungen bereits zwei Hash-Regeln enthält: 
Mit der einen kennzeichnet sich der Re- 
stric’tor selbst als vertrauenswürdig. Nach 
einem eventuellen Update von Restric’tor 
können Sie das mit dem Menübefehl „Da- 
tei/Hash-Regel für Restric’tor hinzufü- 
gen“ wiederholen. Die zweite betrifft eine 
Windows-eigene Datei namens dism- 
host.exe, die partout aus dem Nutzer- 
Ordner starten will. Hintergrund ist eine 
systemeigene geplante Aufgabe, die gele- 
gentlich prüft, ob noch ausreichend Platz 
auf der Platte frei ist. Da Windows dism- 


host.exe aber jedes Mal aus dem Win- 
dows-Ordner dorthin kopiert und nach 
dem Ende der Aufgabe wieder löscht, er- 
fasst die Pfad-Regel für den Systemordner 
diese Aktion nicht. 

Sonst noch 

Wie eingangs erwähnt, eignet sich Re- 
stric’tor nicht, um Software Restriction 
Policies in einem Firmennetz auszurollen. 
Im privaten Rechnerzoo mag aber durch- 
aus der Wunsch aufkommen, einen müh- 
sam erstellten Regelsatz von einer 
Maschine auf eine andere zu übertragen. 
Dazu dienen die Befehle „Konfiguration 
exportieren“ und „Konfiguration impor- 
tieren“ aus dem Datei-Menü. Sie leisten 
auch gute Dienste, um die SRP-Konfigu- 
ration vor einer geplanten Neuinstallation 
des Betriebssystems in Sicherheit zu 
bringen. 

Unter ct.de/y9wc finden Sie außer 
dem Download des Programms ein 
Diskussionsforum, in dem Sie sich mit 
anderen Benutzern über Erfahrungen mit 
dem Tool austauschen können. Außer- 
dem halten wir Sie auf der Projektseite 
über mögliche Updates von Restric’tor 
und SrpWatch auf dem Laufenden. 

(hos@ct.de) c T t 
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Einlasskontrolle 

Einschätzen, ob man einer Datei 
besser misstrauen sollte 


Da liegt sie nun im Download- 
Ordner, die frisch heruntergeladene 
ausführbare Datei. Doch ist ein 
Doppelklick darauf womöglich 
gefährlich? Für eine erste Ein- 
schätzung reichen Sekunden. 


Von Axel Vahldiek 


B ei einer frisch heruntergeladenen 
oder per Mail empfangenen Datei 
besteht immer ein gewisses Risi- 
ko, dass sie einen Schädling enthält. Und 
das gilt keineswegs nur für Dateien aus 
dubiosen Quellen, sondern auch für Da- 
teien von seriösen Anbietern oder Absen- 
dern, etwa weil sie selbst Opfer eines An- 
griffs wurden. Doch wie prüft man so eine 
Datei? In unseren „Analysiert“-Artikeln 
haben wir exemplarisch gezeigt, wie viel 
Aufwand Profis in gründliche Untersu- 


chungen stecken [1, 2], Einen ersten Ein- 
druck bekommen Sie jedoch auch ohne 
Expertenwissen und in Sekundenschnelle. 
Mit den Tipps aus diesem Artikel prüfen 
Sie nicht nur die Signatur mit einem ein- 
zigen Mausklick, sondern lassen die Datei 
auch noch zugleich von über 60 Viren- 
scannern untersuchen. 

Um aber eines noch mal in aller 
Deutlichkeit zu sagen: Die nachfolgend 
vorgestellte Methode zur Schnellprüfung 
stellt keineswegs sicher, dass eine Datei 
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wirklich unschädlich ist. Stellen Sie sich 
das ähnlich wie eine Fußgängerampel 
vor: Wenn es dumm läuft, können Sie 
auch bei Grün überfahren werden. Doch 
wenn die Ampel rot leuchtet, wissen Sie, 
dass sie stehenbleiben beziehungsweise 
in diesem Fall eben bloß nicht doppel- 
klicken sollten. 

Das Werkzeug 

Möglich macht das Ganze die Freeware 
Sigcheck von Sysinternals. Autor ist Mark 
Russinovich, der auch die bekannten Sys- 
temwerkzeuge Autoruns, Process Explo- 
rer und Process Monitor geschrieben hat 
und seit vielen Jahren für Microsoft arbei- 
tet. Sie finden das wenige hundert KByte 
kleine Programm zusammen mit allen 
anderen Sysinternals-Tools unter https:// 
live.sysinternals.com. Sigcheck.exe bietet 
kein GUI, ist also ein reines Kommando- 
zeilenprogramm. Das Folgende be- 
schreibt zuerst die Optionen und Möglich- 
keiten von Sigcheck und anschließend, 
wie Sie die Prüfung mit Sigcheck so kon- 
figurieren, dass künftig ein simpler Maus- 
klick reicht. 

Sigcheck war ursprünglich nur zum 
Prüfen der Signatur von Dateien gedacht, 
genauer, ob das als Signatur dienende 
Zertifikat von einer Zertifizierungsstelle 
ausgestellt wurde, der Windows vertraut. 
Das muss nicht direkt sein, sondern kann 
über mehrere andere vertrauenswürdige 
Zertifikate hinweg erfolgen: Zertifizie- 
rungsstelle A vertraut Zertifizierungsstelle 
B, die wiederum Zertifizierungsstelle C 
und so weiter („Zertifizierungskette“). 
Eine gültige Signatur hinterlegt der Her- 
steller als Nachweis in der Datei, dass sie 
wirklich von ihm stammt und dass er dazu 
steht. Über die Fehlerfreiheit oder Unge- 


fährlichkeit einer Anwendung sagt die Sig- 
natur damit zwar nichts aus, doch Sie wis- 
sen dann, an wen Sie sich bei Problemen 
wenden können. Und Hersteller von Pro- 
grammen mit gültigen Signaturen bemü- 
hen sich üblicherweise schon aus Angst 
vor einem Image-Schaden, dass ihre Pro- 
gramme möglichst fehlerfrei und unge- 
fährlich sind. 

Die Signatur ist an genau diese Datei 
gebunden, wird also ungültig, wenn sich 
auch nur ein Bit davon ändert. Sofern Sig- 
check also ausgibt, dass eine Datei von 
Microsoft signiert wurde, können Sie 
ziemlich sicher sein, dass das auch so ist 
- nur „ziemlich“ sicher, weil es leider in 
Einzelfällen vorkommt, dass die Signatur 
gefälscht oder gestohlen ist. Das ist aber 
sehr aufwendig, sodass momentan die 
meisten Angreifer das unterlassen. 

Seit einiger Zeit kann Sigcheck noch 
etwas anderes: Virustotal.com befragen. 
Diese Website wird von Google betrieben. 
Wenn man dort eine Datei hochlädt, wird 
sie von über 60 Virenscannern geprüft. 
Das Ergebnis der Virustotal-Abfrage 
durch Sigcheck bekommen Sie üblicher- 
weise bereits nach Sekunden, weil das 
Programm im ersten Anlauf nicht die 
ganze Datei, sondern bloß einen Hash 
hochlädt. 

Einrichten 

Damit Sie nicht für jeden Sigcheck-Aufruf 
lange Kommandozeilenbefehle eintip- 
pen müssen, finden Sie unter ct.de/y8bm 
die Batch-Datei sigcheck.bat, die den Job 
für Sie erledigt. Laden Sie diese sowie 
sigcheck.exe herunter und packen Sie 
beide gemeinsam in einen beliebigen 
Ordner. Als Nächstes klicken Sie im Kon- 
textmenü der Batchdatei sigcheck.bat auf 


„Kopieren“. Drücken Sie nun die Tasten- 
kombination Windows+R, es öffnet sich 
der „Ausführen“-Dialog. Dort tippen Sie 
ein: 

Shell : sendto 

Nach dem Bestätigen mit Enter öffnet sich 
der Ordner, in dem die Verknüpfungen 
des „Senden an“-Menüs aus dem Kon- 
textmenü von Dateien und Ordnern 
liegen. Dort rechtsklicken Sie in einen lee- 
ren Bereich und wählen „Verknüpfung 
einfügen“ - fertig. Wenn Sie mögen, 
können Sie die Verknüpfung nach Gusto 
umbenennen. 

Ab sofort können Sie jede Datei per 
„Senden an“-Menü an Sigcheck überge- 
ben und bekommen anschließend ein 
Kommandozeilenfenster mit den Prü- 
fungsergebnissen. Beim ersten Aufruf 
müssen Sie einmalig die Lizenzbestim- 
mungen von Sysinternals sowie von Virus- 
total.com abnicken, ab dem zweiten Auf- 
ruf geht es ohne. 

Wie Sigcheck genau vorgeht, können 
Sie konfigurieren. Dazu öffnen Sie die 
Batch-Datei im Texteditor. Die einzig 
relevante Zeile ist die zweite, sie lautet: 

sigcheck.exe -vr -h %1 

Die Option - vr sorgt dafür, dass der Hash 
der zu überprüfenden Datei bei Virusto- 
tal.com hochgeladen und dass die Ergeb- 
nisseite im Standardbrowser angezeigt 
wird, sofern mindestens ein Virenscanner 
Alarm schlägt. Finden alle Scanner die 
Datei harmlos, erscheint nur das Prüf- 
ergebnis im Kommandozeilenfenster. 
Wenn Sie wollen, können Sie die Option 
ergänzen zu -vrs. Das ist für den Fall ge- 
dacht, dass Virustotal den hochgeladenen 
Hash-Wert nicht erkennt, dann lädt Sig- 


Unser Skript bereitet 
seine Ausgabe zwar 
nicht gerade hübsch 
auf, informiert Sie 
aber in Sekunden- 
schnelle darüber, ob 
eine Anwendung 
signiert ist und was 
über 60 Virenscan- 
ner darüber denken. 


1 ESfl C :\WINDOWS\system 3 Acm d .exi 

e 

□ X 

m : \progs\sysinternals\autoruns . exe : 


Venified: 

Signed 


Signing date: 

16:48 19.07.2016 


Publisher: 

Microsoft Corporation 


Company: 

Sysinternals - www.sysinternals.com 


Description : 

Autostart program viewer 


Product: 

Sysinternals autoruns 


Prod Version: 

13.62 


File Version: 

13.62 


MachineType: 

32-bit 


MD 5 : 088E659223761E033284CE23CABFF819 

SHA1: D6CF3A9028C3E8A47C97E57FBBA93157DC19AACC 

PESHA1 : 9FA968EB40938E20657E34079F8F473E7CDC59A2 

PE256 : 1E408BBC420589B0A7FD6648AC89D8D13D73869D4E3BAAAA9800F8AF 29036187 

SHA256: FE7D78B9CCAF689785740E14E64A6B1B551667F82CAF3CE4FF236E7BA61EDE90 

IMP : 89FB6166114772C2C3B8139FACC129C9 


VT detection: 

0/58 


VT link: 

https://www.virustotal.com/file/fe7d78b9ccaf689785740el4e64a6blb551667f82caf3ce4ff236e7ba61ede90/analysis/ 1 

Drücken Sie eine beliebige Taste . . . m 

p 
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Eine gültige Signatur weist 
zwar normalerweise darauf 
hin, dass eine Datei ver- 
trauenswürdig ist, doch 
gibt es auch Ausnahmen. 

In diesem Fall schlagen 
gleich reihenweise Viren- 
scanner Alarm, womit trotz 
gültiger Signatur klar ist: 
bloß kein Doppelklick auf 
die geprüfte Datei! 


SB Auswahlen C:\WINDOWS\system32\cmd.exe — □ X 


f:\61327b698a626b760568^'''‘’ l '''' ,c ^-Fc3c684ee70d431348f363ealc633e68999.exe: 

Verified: Signed 

Signing date: I». 03. 2017 

Publisher: Nguyen Hoang Tung 

Company: n/a 

Description: n/a 

Product: n/a 

Prod Version: 1.3. 0.0 

File Version: 1.3. 0.0 

MachineType: 32-bit 

MD5 : 78ADC6AC4CF7A51F7DA68A06ACAC09E9 

SHA1 : 39B089A559F8F4B5BD202EB2696D760428193D33 | 

PESHA1 : 770B2A592645D6C34EA77BB67FB5BC5BB0367D49 

PE256 : C969F9DAC6C60FFC25EC255CB29F4679D3F1C557C1C3FA724E624683C35426FD 

SHA256 : 61327B698A626B760S68EA37B026DFC3C684EE70D431348F363EA1C633E68999 
IMP: F34D5F? r, '-77I? f; p9CEEC516ClF5A744 

VT detection: 30/61 

VT link: ..cc H3 v/7www. Virustotal.com/file/61327b698a626b760568ea37b026dfc3c684ee70d431348f363ealc633e68999/analysis/ 

Drücken Sie eine beliebige Taste . . . 


check die Datei selbst automatisch zur 
weiteren Prüfung hoch. 

Wenn Sigcheck die komplette Zertifi- 
katskette ausgeben soll, ergänzen Sie hin- 
ter -vr die Option -i. Dadurch wird die 
Ausgabe allerdings erheblich länger und 
damit unübersichtlicher. 

Die Option -h lässt Sigcheck zusätz- 
lich verschiedene Hash-Werte für die 
untersuchte Datei ausgeben (MD5, 
SHA256, ...). Für eine Prüfung auf Ver- 
trauenswürdigkeit ist das eigentlich nicht 
erforderlich, spart aber in manch anderen 
Situationen ein zusätzliches Hash-Pro- 
gramm - falls Sie das nicht brauchen, 
streichen Sie die Option einfach. Das %l 
am Ende ist keine Option, sondern eine 
hier unverzichtbare Variable, die für die 
an die Batch-Datei übergebene Datei 
steht. 

Ausgabe 

Die Ausgabe des Skripts im Kommando- 
zeilenfenster verdient zugegebenerma- 
ßen keinen Schönheitspreis, sondern fasst 
einfach nur in drögen Textzeilen und zum 
Teil mit Abkürzungen die Ergebnisse 
zusammen. 

Die erste Zeile beginnt mit „Verified“, 
dahinter steht normalerweise entweder 
„Signed“ oder „Unsigned“. Zumindest 
bei großen Firmen wie Microsoft und 
Google sollte die Datei grundsätzlich 
signiert sein, auch wenn Ausnahmen die 
Regel bestätigen. 

In manchen Fällen ist zwar eine Sig- 
natur vorhanden, wird aber nicht als ver- 
trauenswürdig eingestuft. Sie erkennen 
das an Meldungen wie „Die digitale Sig- 
natur des Objekts konnte nicht bestätigt 
werden“, „Ein Zertifikat wurde explizit 
durch den Aussteller gesperrt“ oder „Eine 


Zertifikatkette zu einer vertrauenswür- 
digen Stammzertifizierungsstelle konnte 
nicht aufgebaut werden“. Die Datei ist 
damit ebenfalls erst mal nicht vertrauens- 
würdig. 

Die nächste Zeile nennt ein Datum, 
und zwar entweder das der Erstellung des 
Zertifikats („Signing date“) oder das der 
Datei („Link date“), falls das Zertifikat 
fehlt. Es folgen derjenige, der das Pro- 
gramm veröffentlicht hat („Publisher“), 
die Firma, die das Programm geschrieben 


hat („Company“), Beschreibung („Des- 
cription“), Produktname und -versions- 
nummer sowie die Versionsnummer der 
Datei. Bei „MachineType“ steht, ob das 
Programm 32- oder 64-bittig ist. 

Die Ausgabe geht weiter mit sechs 
verschiedenen Hash-Werten. Es folgt die 
„VT detection“, die Zeile nennt das Ergeb- 
nis der Virustotal-Überprüfung. Im Ideal- 
fall steht hier „0/61“, wobei die Zahl 
hinter dem Schrägstrich mitunter leicht 
variiert - manches wird nicht von jedem 



Wenn auch nur ein Virenscanner Alarm schlägt, öffnet sich 
eine Website mit detaillierten Angaben. 
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Scanner geprüft. Entscheidend ist die 0 
vorne, denn dann hatte kein einziger 
Scanner etwas zu meckern. Der in der 
Zeile darunter stehende Link führt zur 
Ergebnis-Seite der Prüfung, dort können 
Sie sie detailliert betrachten. 

Auswerten 

Grundsätzlich sollten Sie alle Programme, 
die keine gültige Signatur aufweisen, erst 
einmal mit Vorsicht behandeln und auf 
weitere Details achten. Wenn einzelne 
Zeilen der Ausgabe nicht ausgefüllt sind 
(es steht dann dort „n/a “), deutet das auf 
Pfusch beim Erstellen der Datei hin. Das 
kann ein Alarmsignal sein, vor allem, 
wenn ein großes Unternehmen als Publi- 
sher genannt ist. Auch Ihnen oder gar 
Google unbekannte Publisher können ein 
Alarmsignal sein, müssen es aber nicht. 
Denn vielleicht ist es auch nur das Erst- 
lingswerk eines bislang unbekannten, 
aber seriösen Programmierers. 

Falls mindestens einer der Virustotal- 
Virenscanner Alarm schlägt, öffnet sich 
im Browser die Website von Virustotal mit 
einem detaillierten Bericht. Mitunter zei- 
gen Symbole, wie andere Nutzer das Er- 
gebnis einschätzen. Einen weiteren An- 
haltspunkt gibt, ob die Alarme nur von 
Scanner-Exoten oder auch von den gro- 
ßen Scanner-Herstellern stammen. Alar- 
me von Exoten kann man eher ignorieren. 
Mitunter handelt es sich allerdings doch 
nicht um einen Fehlalarm: Es kommt 
durchaus vor, dass ein Virenscanner einen 
besonders frischen Schädling vor allen an- 
deren entdeckt, und das gilt für bekannte 
ebenso wie für exotische Scanner. Wer 
ganz sichergehen will, löscht die herun- 
tergeladene Datei, statt sie zu starten. 

Falls Virustotal.com den von Sigcheck 
übermittelten Hash nicht kennt, kann das 
ebenfalls ein Alarmsignal sein, muss aber 
nicht. Wenn Sie beispielsweise erstmals 
ein selbstgeschriebenes Skript untersu- 
chen lassen, kann Virustotal die Datei zu- 
vor ja noch nicht geprüft haben. Anders 
sieht es aus, wenn Virustotal den Hash 
einer prominenten Software nicht kennt. 
Das kann bedeuten, dass bloß soeben eine 
ganz neue Version erschienen ist (dann 
wiederholen Sie das Ganze noch mal nach 
einigen Stunden oder Tagen), aber auch, 
dass die Download-Seite infiltriert wurde. 
Denn normalerweise werden verbreitete 
Dateien so oft bei Virustotal hochgeladen, 


dass sie regelmäßig geprüft werden und 
der Hash demzufolge längst bekannt ist. 

Empfehlung 

Wenn die Prüfergebnisse eindeutig sind, 
ist die Empfehlung einfach: Sofern die Da- 
tei von einem bekannten Anbieter signiert 
ist und kein Virenscanner etwas zu me- 
ckern hat, ist sie wahrscheinlich harmlos 
- obwohl, um das noch einmal zu betonen, 
es keine Garantie dafür gibt, dass dem 
wirklich so ist. Wenn hingegen die Signa- 
tur fehlt oder Seltsamkeiten aufweist und 
gleich mehrere Virenscanner anschlagen, 


Grenzfälle 

Von Peter Siering 

Für erfahrene Anwender kann es gute 
Gründe geben, die Einschätzung zu 
ignorieren, dass eine Software als ge- 
fährlich einzustufen ist - das muss al- 
lerdings im Einzelfall geprüft und ab- 
gewogen werden. FHilfreich dabei sind 
Einsichten in die Art und Weise, wie 
Antivirus-Software vorgeht: Sie prüft 
auf Signaturen, die eindeutig einen 
Schädling identifizieren. Sie sucht 
Muster, die erfahrungsgemäß typisch 
für Schädlinge sind (Fleuristik). Sie 
fragt bei den Cloud-Diensten der Fier- 
steller nach, ob dort eventuell bereits 
Erkenntnisse vorliegen, oder sendet 
Code-Proben unbekannter Programme 
dorthin, um sie dort eingehend zu un- 
tersuchen. 

Obendrein stufen die Fiersteller 
manche Software als „potentially un- 
wanted application" (pua) ein: Pro- 
gramme, die sich als zweifelhafte Tool- 
bar in Browsern breitmachen, die 
Windows-Passwörter zurücksetzen, 
die anderen Systemen übers Netz auf 
den Zahn fühlen, mit denen sich PCs 
fernsteuern lassen oder die Fenster 
verstecken. Wer so etwas auf einem 
PC der Schwiegermutter vorfindet, 
ohne dass die Plerkunft klar ist, muss 
davon ausgehen, dass etwas faul ist. 
In einem Notfall-System wie unserem 


können Sie es mit den Hinweisen aus dem 
Kasten probieren - oder Sie gehen auf 
Nummer sicher und löschen die Datei 
kurzerhand. (axv@ct.de) ft 
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Notfall-Windows aus c't 26/16 machen 
solche Programme hingegen die 
Essenz aus. 

Wenn man eine Datei von Virusto- 
tal analysieren lässt und nur eine Min- 
derheit der dort eingespannten Pro- 
gramme Alarm schlägt, lohnt ein nähe- 
rer Blick auf die Ergebnisspalte: Tau- 
chen dort „gen" oder „heur" auf, dann 
handelt es sich eben um keinen ein- 
deutigen Schädlingsfund, sondern nur 
um einen Verdacht - besonders der 
weniger prominente Teil der Zunft wit- 
tert schnell mal Gefahr, wo keine be- 
steht. Stammt die Datei aus seriöser 
Quelle, die womöglich sogar diesen 
Umstand dokumentiert, muss man 
nicht gleich in Panik verfallen. 

Eine nähere Untersuchung fällt 
schwer. Es gibt Dienste, an die man 
solche Dateien schicken kann und 
die sich in einer Sandbox an einer 
Analyse versuchen, hundertprozen- 
tige Gewissheit liefert das nicht: Ein 
enthaltener Schädling könnte die 
Sandbox erkennen und verdächtige 
Funktionen erst gar nicht auslösen, 
etwa Netzwerkzugriffe, die ihn verrie- 
ten. Letztlich gibt es ohne detaillierte 
Code-Analyse keine abschließende 
Gewissheit - auch Software ohne Be- 
fund, obendrein aus vertrauenswür- 
digen Quellen, kann Überraschungen 
bergen. 
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